NOTA: Questa traduzione è stata generata automaticamente e viene fornita solo per comodità. Questa traduzione generata automaticamente non è paragonabile alla qualità di una traduzione umana e può contenere errori. Questa traduzione viene fornita "COSÌ COME È" e senza alcuna garanzia riguardo all'accuratezza, completezza o affidabilità della traduzione. In caso di discrepanze tra la versione in inglese di questo contratto e la versione tradotta in una lingua straniera, solo la versione in inglese sarà considerata valida.

ADDENDUM SULL'ELABORAZIONE DEI DATI

Questo Addendum sul trattamento dei dati (“DPA”) fa parte e viene espressamente incorporato nell'accordo stipulato tra Sophos e il Cliente per la fornitura da parte di Sophos al Cliente di determinati prodotti e/o servizi (“Accordo principale”). Salvo diversa definizione, tutti i termini in maiuscolo avranno i significati indicati nella sezione 1 qui sotto.

1. DEFINIZIONI

1.1. In questo DPA, i seguenti termini avranno i seguenti significati:

“Affiliato” indica, per quanto riguarda ciascuna parte, un'entità che controlla, è controllata da o è sotto il controllo comune con tale parte. Ai fini di questa definizione, “controllo” indica la titolarità effettiva di oltre il cinquanta per cento (50%) del potere di voto o del capitale in un'entità o il diritto contrattuale o legale di dirigere la gestione di tale entità;

“Leggi sulla protezione dei dati applicabili"si intendono tutte le leggi e i regolamenti applicabili al trattamento dei dati personali del titolare del trattamento ai sensi del contratto principale, inclusi, se pertinenti, il GDPR, la legge sulla protezione dei dati del Regno Unito e la CCPA

“Beneficiario” ha il significato che gli viene attribuito nell'accordo MSP.

“CCPA"si riferisce al California Consumer Privacy Act, così come modificato dalla California Privacy Rights Act del 2020), codificato in Cal. Civ. Codice §§ 1798.100 - 1798.199.100 e i regolamenti sulla legge sulla privacy dei consumatori della California emanati in relazione ad essa, Cal. Codice Regs. tit. 11, div. 6, ch. 1, ciascuno come modificato;

“Controller” indica: (a) il Cliente, se il Cliente è un Utente finale; (b) il Beneficiario, se il Cliente è un MSP; o (c) il Cliente finale, se il Cliente è un OEM;

“Dati personali del titolare del trattamento” indica i dati personali che Sophos elabora per conto del titolare del trattamento come parte della fornitura dei servizi;

“Cliente” significa: (1) il fornitore di servizi gestiti o il fornitore di servizi di sicurezza gestiti (ciascuno denominato “MSP”) se il Contratto principale è tra Sophos e un MSP ("Accordo MSP”), (2) il produttore di apparecchiature originali ("OEM”) se il Contratto principale è con un OEM autorizzato a distribuire, concedere in sublicenza o mettere a disposizione di terzi i prodotti Sophos in combinazione con i suoi prodotti come parte di un'unità integrata ("Accordo OEM”); (3) l'utente finale ("Utente finale”), se il Contratto principale è direttamente con il cliente;

“Soggetto dei dati” indica l'individuo a cui il Titolare I dati personali si riferiscono a;

“Richieste dell'interessato” si intende qualsiasi richiesta da parte degli interessati che esercitano i diritti ai sensi delle leggi sulla protezione dei dati applicabili;

“SEE” significa Spazio Economico Europeo, inclusi gli Stati membri dell'Unione Europea;

“Cliente finale” ha il significato che gli viene attribuito nel Contratto OEM;

“CC EU” indica le clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio approvate dalla Commissione europea con decisione di esecuzione (UE) 2021/914 del 4 giugno 2021;

“GDPR” indica il Regolamento generale sulla protezione dei dati (UE) 2016/679, come modificato di volta in volta;

“Dati Personali” significa “dati personali” o “informazioni personali”, come questi termini sono definiti dalle Leggi Applicabili sulla Protezione dei Dati, e include qualsiasi informazione relativa a un identificato o individuo o nucleo familiare identificabile;

“Violazione dei dati personali” si intende una violazione della sicurezza (diversa da quella causata dal Cliente o dai suoi utenti) che porti alla distruzione accidentale o illecita, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso ai Dati personali del titolare del trattamento;

“Processore” indica una persona o un'entità che elabora i dati personali per conto e in base alle istruzioni di un responsabile del trattamento, inclusa qualsiasi entità che agisce come “fornitore di servizi” ai sensi del CCPA;

“Trasferimento limitato” indica un trasferimento di Dati Personali verso un Paese terzo in cui tale trasferimento sarebbe vietato ai sensi della legge europea sulla protezione dei dati in assenza di meccanismi di trasferimento appropriati, come le regole aziendali vincolanti o le clausole contrattuali tipo;

“Servizi” si intende qualsiasi prodotto fornito e/o servizio eseguito da Sophos ai sensi del Contratto principale;

“Sophos” si intende Sophos Limited, una società registrata in Inghilterra e Galles, numero 2096520 con sede legale in The Pentagon, Abingdon, OX14 3YP, Regno Unito;

“Clausole contrattuali standard” o “SCC” significa: (i) quando il GDPR si applica a un trasferimento limitato, le SCC dell'UE; (ii) quando la legge sulla protezione dei dati del Regno Unito si applica a un trasferimento limitato, l'Addendum del Regno Unito; e (iii) quando l'DPA svizzero si applica a un trasferimento limitato, le SCC svizzere;

“Sottoprocessore” indica qualsiasi entità designata da Sophos per svolgere l'elaborazione dei dati attività relativi ai Dati Personali del Controllore;

“Autorità di vigilanza"indica l'autorità di regolamentazione competente in relazione alle Leggi sulla protezione dei dati applicabili, inclusa, se del caso, un'autorità di vigilanza come definita dal GDPR;

“DPA svizzera” indica la legge federale svizzera sulla protezione dei dati del 25 settembre 2020, modificata di volta in volta;

“SCC svizzeri” si intendono le clausole standard di protezione dei dati applicabili per il trasferimento di dati personali verso paesi terzi emesse, approvate o altrimenti riconosciute dal Commissario federale svizzero per la protezione dei dati e l'informazione (“FDPIC”);

“Paese terzo” indica un paese al di fuori dello SEE, del Regno Unito (“Regno Unito”) o della Svizzera che non è stato designato dalla Commissione europea o da un organismo o persona equivalente in Svizzera o nel Regno Unito come paese che garantisce un livello di protezione adeguato ai sensi delle leggi sulla protezione dei dati dello SEE, del Regno Unito o della Svizzera (“Legge europea sulla protezione dei dati”);

“Addendum del Regno Unito” indica l'Addendum per il trasferimento internazionale dei dati agli SCC dell'UE, emesso dall'Ufficio del Commissario per l'informazione del Regno Unito e presentato al Parlamento in conformità con la sezione 119A della legge sulla protezione dei dati del 2018 il 2 febbraio 2022;

“Legge sulla protezione dei dati del Regno Unito” si intende la legge del Regno Unito sulla protezione dei dati del 2018 e il GDPR come integrati nella legge del Regno Unito in virtù della sezione 3 della legge del Regno Unito sull'Unione europea (recesso) del 2018, entrambi modificati di volta in volta.

1.2. Nel presente DPA, i termini in minuscolo “titolare del trattamento”, “responsabile del trattamento”, “interessato”, “dati personali” e “trattamento” (e derivati) hanno i significati indicati nella Legge sulla protezione dei dati applicabile.

1.3. I termini in maiuscolo non altrimenti definiti nel presente DPA hanno il significato attribuito loro nel Contratto principale.

2. CAMPO DI APPLICAZIONE

2.1. Il presente DPA si applica quando Sophos elabora i dati personali del titolare del trattamento per conto del cliente come parte della fornitura dei servizi. L'oggetto e la durata dell'elaborazione dei Dati Personali del Titolare da parte di Sophos, la natura e lo scopo dell'elaborazione, i tipi di Dati Personali del Titolare da elaborare e le categorie di interessati sono descritti in: (a) il presente DPA; (b) il Contratto Principale; (c) l'Allegato 1 (Dettagli sull'elaborazione dei dati); e (d) le istruzioni del Cliente emesse in conformità con la Sezione 4 qui di seguito.

2.2. Il Cliente è responsabile di garantire che il Titolare (a) disponga di una base giuridica per l'elaborazione dei Dati Personali del Titolare che verrà effettuata da Sophos per conto del Cliente, e (b) abbia ottenuto tutti i consensi necessari dagli interessati che possono essere richiesti per l'elaborazione dei Dati Personali del Titolare da parte del Cliente e di Sophos; e (c) sia altrimenti conforme e garantirà che le sue istruzioni a Sophos per l'elaborazione dei Dati Personali del Titolare siano conformi in tutti gli aspetti alle Leggi Applicabili sulla Protezione dei Dati.

2.3. Le parti concordano che, in relazione ai Dati Personali del Titolare, Sophos è un Responsabile del trattamento o sub-responsabile del trattamento, e il Cliente è (a) il Titolare del trattamento se il Cliente è un Utente Finale, o (b) un Responsabile del trattamento, per il Beneficiario o il Cliente Finale, se il Cliente è rispettivamente un MSP o un OEM.

3. ISTRUZIONI DEL CLIENTE

3.1. Il Cliente incarica Sophos di elaborare i Dati Personali del Titolare del Trattamento secondo quanto ragionevolmente necessario per fornire e eseguire i Servizi e come diversamente stabilito nel presente DPA e nel Contratto Principale (“Istruzioni del Cliente”). Sophos elaborerà i Dati Personali del Titolare in conformità con le Istruzioni del Cliente, salvo (a) ove diversamente concordato per iscritto tra Sophos e il Cliente; o (b) come richiesto da qualsiasi legge a cui Sophos è soggetta (in tal caso, Sophos informerà il Cliente di tale obbligo legale prima di qualsiasi elaborazione, a meno che tale legge non vieti la fornitura di tali informazioni per motivi importanti di interesse pubblico). Quando il Cliente agisce come Responsabile del trattamento in relazione ai Dati Personali del Titolare, il Cliente garantisce che le Istruzioni del Cliente siano state autorizzate dal Titolare del trattamento pertinente e non siano in conflitto con le istruzioni emesse da tale Titolare.

3.2. Se Sophos viene a conoscenza del fatto che le Istruzioni del Cliente violano le Leggi Applicabili sulla Protezione dei Dati, ne informerà tempestivamente il Cliente e sospenderà l'elaborazione dei

3.3. Senza limitare quanto sopra, nella misura in cui il CCPA si applica ai Dati Personali del Controllore, Sophos concorda inoltre che:

1. Sophos non utilizzerà, divulgherà o elaborerà in altro modo i Dati Personali del Titolare se non per lo scopo commerciale specifico di eseguire i Servizi, in conformità con i termini del presente DPA e del Contratto Principale, e come altrimenti autorizzato dalle leggi applicabili;
2. Sophos può coinvolgere Sotto-Responsabili del trattamento per elaborare i Dati Personali del Titolare, soggetto ai termini della Sezione 7 e tale coinvolgimento non sarà considerato una vendita dei Dati Personali del Titolare;
3. Sophos non elaborerà i Dati Personali del Titolare al di fuori della relazione commerciale diretta tra il Cliente e Sophos o per scopi commerciali propri di Sophos;
4. Sophos non "condividerà" o "venderà" (come tali termini sono definiti ai sensi del CCPA) alcun Dato Personale del Titolare;
5. Sophos sarà conforme con i suoi obblighi ai sensi del CCPA e fornirà lo stesso livello di protezione della privacy richiesto dal CCPA;
6. Se Sophos ritiene di non poter rispettare i termini del CCPA, Sophos ne informerà tempestivamente il Cliente e gli concederà il diritto di adottare misure ragionevoli e appropriate per garantire che i Dati Personali del Titolare siano trattati in modo coerente. con gli obblighi del Titolare del trattamento sotto la CCPA;
7. Sophos non conserverà i Dati Personali del Titolare dopo la scadenza o la risoluzione del Contratto Principale, salvo quanto previsto nella Sezione 4.6.

3.4 Sophos certifica di comprendere e di rispettare gli obblighi stabiliti nella Sezione 3.3.

4. OBBLIGHI DI SOPHOS

4.1. Cooperazione. Tenendo conto della natura del trattamento dei Dati Personali del Titolare, Sophos fornirà al Cliente (o, se il Cliente è un MSP o OEM, al Titolare) l'assistenza ragionevole necessaria per: (i) rispondere alle richieste degli interessati che esercitano i loro diritti ai sensi delle Leggi Applicabili sulla Protezione dei Dati (incluso notificare al Cliente quando riceve tali richieste, a condizione che non risponda direttamente a meno che non sia stato autorizzato dal Cliente), (ii) condurre valutazioni dell'impatto sulla protezione dei dati o altre valutazioni richieste dalle Leggi Applicabili sulla Protezione dei Dati; e (iii) consultare e collaborare con le Autorità di Vigilanza come richiesto dalle Leggi Applicabili sulla Protezione dei Dati. Sophos si riserva il diritto di addebiterà per tale assistenza se il costo dell'assistenza supera un importo nominale.

4.2. Richieste di terze parti. A meno che non sia vietato dalla legge, Sophos notifica al Cliente qualsiasi richiesta di privacy, corrispondenza, indagine o reclamo che riceve da un'autorità di vigilanza, un'autorità giudiziaria o un'agenzia di applicazione della legge in relazione al trattamento dei Dati Personali del Titolare ("Richiesta di Terze Parti”), fornendo tutti i dettagli relativi. Sophos non risponde direttamente alla Richiesta di Terza Parte, tranne (1) su istruzioni scritte del Cliente o, (2) come imposto dalle leggi applicabili.  

4.3. Confidenzialità. Tutto il personale di Sophos che elabora i Dati Personali del Titolare deve essere adeguatamente formato riguardo ai propri obblighi in materia di protezione dei dati, sicurezza e riservatezza, e deve essere soggetto a obblighi di riservatezza scritti o statutari.

4.4. Sicurezza. Sophos implementerà misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio e per proteggere i dati personali del responsabile del trattamento da una violazione dei dati personali. Tali misure terranno conto dello stato dell'arte, dei costi di attuazione e della natura, portata, contesto e finalità del trattamento, nonché del rischio di probabilità e gravità variabile per i diritti e le libertà delle persone fisiche, in modo da garantire un livello di sicurezza adeguato al rischio. In particolare, le misure adottate da Sophos includono quelle descritte nell'Allegato 2 del presente DPA.

 4. 5. Violazione dei dati personali. Non appena confermata l'occorrenza di una violazione dei dati personali, Sophos informerà il cliente senza indebito ritardo e fornirà tutte le informazioni tempestive e la cooperazione che il cliente potrebbe ragionevolmente richiedere affinché il cliente (e, se il cliente è un MSP o OEM, il suo responsabile del trattamento) possa adempiere agli obblighi di segnalazione delle violazioni dei dati ai sensi della legge sulla protezione dei dati applicabile (e nei tempi richiesti da essa). Sophos adotterà inoltre le misure e le azioni ragionevolmente necessarie per porre rimedio o mitigare gli effetti della violazione dei dati personali e terrà informato il cliente degli sviluppi in relazione alla violazione dei dati personali.

 4.6 Fine dei servizi. Al termine della fornitura dei Servizi o su richiesta scritta del Cliente, Sophos eliminerà i Dati Personali del Titolare entro un termine ragionevole successivo alla fine dei Servizi o alla richiesta, salvo diversa disposizione di legge o obbligo di conformità a requisiti giudiziari o normativi. Se Sophos è obbligata a conservare alcuni Dati Personali del Titolare, adotterà misure per garantire la riservatezza e la sicurezza continuativa dei Dati Personali del Titolare per tutto il periodo di conservazione.

5. DIRITTI DI CONTROLLO DEL CLIENTE

5.1. Il Cliente riconosce che Sophos viene regolarmente sottoposta a verifiche in base agli standard SSAE 18 SOC 2 da parte di revisori indipendenti terzi. Su richiesta motivata, Sophos fornirà al Cliente una copia della sua relazione di revisione SOC 2, che sarà soggetta alle disposizioni in materia di riservatezza del Contratto principale in quanto informazione confidenziale di Sophos. Sophos risponderà anche a domande di revisione scritte e motivate presentate dal Cliente, a condizione che il Cliente non eserciti tale diritto più di una volta all'anno.

5.2. Se, a giudizio ragionevole del Cliente, i materiali forniti ai sensi della Sezione 5.1 sono insufficienti a dimostrare la conformità di Sophos al presente Accordo di Elaborazione dei Dati, il Cliente può richiedere per iscritto che Sophos metta a disposizione del Cliente tutte le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti nel presente Accordo di Elaborazione dei Dati e permetta e contribuisca alle verifiche, incluse le ispezioni, da parte del Cliente o del revisore indipendente del Cliente, sempre nel rispetto delle seguenti disposizioni:

1. prima di richiedere una revisione o un controllo ai sensi della presente Sezione 5.2, il Cliente terrà conto delle pertinenti certificazioni e controlli di terze parti di Sophos descritti nella Sezione 5.1;
2. Il Cliente darà a Sophos un preavviso ragionevole, almeno 30 giorni prima, di una richiesta di condurre un audit o un'ispezione ai sensi della presente Sezione 5.2, tramite fornire l'ambito proposto, la durata e la data di inizio dell'audit;
3. se un revisore terzo esegue il controllo, tale revisore terzo deve essere un professionista o un'azienda rispettabile e ben consolidata, soggetto ad obblighi di riservatezza appropriati e non concorrente di Sophos;
4. il Cliente (e garantirà che i suoi revisori) condurranno tale controllo o ispezione durante l'orario di lavoro normale di Sophos con la minima interruzione delle attività commerciali;
5. un controllo o un'ispezione verrà condotto non più di una volta all'anno, salvo quando richiesto da un'Autorità di Vigilanza o dalle Leggi Applicabili sulla Protezione dei Dati;
6. il Cliente (o i suoi revisori, a seconda dei casi) non avrà accesso ad altri clienti di Sophos (e alle loro informazioni);
7. salvo nel caso in cui l'audit o l'ispezione evidenzi un mancato adempimento da parte di Sophos degli obblighi sostanziali previsti dal presente DPA, il Cliente dovrà rimborsare Sophos per i costi e le spese ragionevoli sostenuti da Sophos, inclusi eventuali oneri per il tempo impiegato da Sophos, dal suo personale e dai suoi consulenti professionali;
8.  il Cliente fornirà a Sophos una copia di qualsiasi rapporto di controllo generato in relazione a un controllo effettuato ai sensi della presente Sezione 5.2, salvo che ciò sia vietato dalla legge applicabile;
9.  le informazioni ottenute dal controllo o dall'ispezione devono essere considerate informazioni confidenziali di Sophos.

6. SOTTOPROCESSORI

6.1. Sophos è generalmente autorizzata a utilizzare i  sottoprocessori elencati all'indirizzo https://www.sophos.com/en-us/legal/sub-processor (“Elenco dei sottoprocessori”), così come le Affiliate di Sophos. Sophos può coinvolgere ulteriori Sub-elaboratori (ciascuno un “Nuovo Sub-elaboratore”) ai sensi dei termini stabiliti in questa Sezione 6.

6.2. Sophos notificherà il Cliente di qualsiasi aggiunta prevista di nuovi sottoprocessori pubblicando i dettagli di tale aggiunta all'Elenco dei sottoprocessori e inviando un'e-mail al Cliente.

6.3. Se il Cliente non solleva obiezioni scritte alla nomina da parte di Sophos di un nuovo sottoprocessore (per motivi ragionevoli relativi alla protezione dei dati personali del responsabile del trattamento) entro 30 giorni dalla notifica, si considererà che il Cliente ha acconsentito a tale nuovo sottoprocessore. Se il Cliente solleva obiezioni, le parti si impegnano a fare ogni ragionevole sforzo per concordare disposizioni alternative entro i successivi trenta (30) giorni. Se le parti non riescono a raggiungere un accordo entro il suddetto termine, il Cliente può scegliere di interrompere la parte dei Servizi interessata dal nuovo subfornitore inviando a Sophos una notifica scritta di trenta (30) giorni e Sophos autorizzerà un rimborso o un credito proporzionale di eventuali tariffe pagate in anticipo per il periodo rimanente dopo la risoluzione.

6.4. Sophos imporrà ai subfornitori requisiti in materia di protezione dei dati sostanzialmente equivalenti ai requisiti previsti dal presente DPA. Sophos rimarrà pienamente responsabile dell'adempimento degli obblighi di ciascun subfornitore.

6.5. Dove l'impiego di subfornitore di elaborazione richiede un trasferimento limitato dei dati personali del controllore, Sophos implementerà e manterrà meccanismi di trasferimento appropriati per garantire la conformità alle Leggi Applicabili sulla Protezione dei Dati.

7. TRASFERIMENTI INTERNAZIONALI DI DATI

7.1. Alcuni prodotti consentono al Cliente di scegliere dove ospitare i dati personali del titolare del trattamento per tali prodotti, inclusi i data center che potrebbero essere situati al di fuori della giurisdizione di origine dei dati. Questi luoghi possono includere (a) lo Spazio economico europeo, (b) il Regno Unito, (c) gli Stati Uniti d'America; o un altro luogo che potrebbe essere specificato nel Contratto principale ("Luogo di archiviazione centrale”). Per questi prodotti, la selezione è effettuata dal Cliente al momento dell'installazione del prodotto, della creazione dell'account o del primo utilizzo del prodotto pertinente. Una volta selezionata dal Cliente, la sede di archiviazione centrale non può essere modificata in una data successiva.

7.2. Il Cliente accetta che, indipendentemente dalla Località di archiviazione centrale selezionata (se applicabile), Sophos possa trasferire i Dati personali del responsabile a livello internazionale, subordinatamente al rispetto di legge sulla protezione dei dati applicabile e le disposizioni del presente DPA. Dove il trasferimento è un trasferimento limitato, Sophos provvederà a implementare e mantenere meccanismi di trasferimento appropriati, come ad esempio Clausole contrattuali tipo, per garantire la conformità alle leggi europee sulla protezione dei dati.

7.3. Per quanto riguarda eventuali trasferimenti soggetti a restrizioni avvengono da il Cliente a Sophos:

1. Le clausole contrattuali tipo sono espressamente incorporate nel presente documento per riferimento e costituiscono parte del presente DPA; e
2. Ai fini delle clausole contrattuali tipo:
   1. Per quanto riguarda i Dati personali del titolare del trattamento, il Cliente è l'esportatore di dati e Sophos è l'importatore di dati e un responsabile del trattamento.
   2. Quando il Cliente è il titolare del trattamento, si applicano le clausole contrattuali tipo del modulo 2, fatte salve le condizioni dell'Allegato 3. Quando il Cliente è un responsabile del trattamento che agisce per conto del titolare del trattamento, si applicano le clausole contrattuali tipo del modulo 3, fatte salve le condizioni dell'Allegato 3.
   3. La firma e la datazione delle parti dell'accordo principale sono considerate come firma e datazione delle clausole contrattuali tipo.  

8. DURATA

8.1. Il presente DPA entra in vigore a) con l'esecuzione da parte di entrambe le parti del Contratto principale o b) alla data in cui il Contratto principale diventa efficace, se posteriore, e continua fino alla prima delle seguenti date: i) la scadenza del diritto del Cliente di utilizzare e ricevere i Servizi, come indicato nel Contratto principale o in qualsiasi diritto di licenza associato; e ii) la risoluzione del Contratto principale.

9. ALTRI REGOLAMENTI

9.1. Qualsiasi modifica del presente DPA è valida solo se in forma scritta e firmata da o per conto di ciascuna parte.

9.2. In nessun caso la responsabilità di Sophos nei confronti del Cliente in relazione a qualsiasi questione derivante da o in connessione con il presente DPA può superare le limitazioni di responsabilità di Sophos stabilite nel Contratto principale. Le limitazioni di responsabilità di Sophos stabilite nel Contratto principale si applicano in modo cumulativo sia al Contratto principale che al presente DPA, in modo tale che un unico regime di limitazione di responsabilità si applichi sia al Contratto principale che al presente DPA.

9.3. Il presente DPA (escluse le SCC) è regolato e interpretato in conformità con le leggi dell'Inghilterra e del Galles, senza riguardo ai principi di conflitto di leggi. Nella misura consentita dalla legge applicabile, i tribunali inglesi hanno giurisdizione esclusiva per determinare qualsiasi controversia o reclamo che possa derivare da, sotto o in connessione con il presente DPA.

9.4. Il Contratto principale, il presente DPA e i documenti espressamente indicati nel Contratto principale e nel presente DPA costituiscono l'intero accordo tra le parti in relazione ai Dati personali raccolti, elaborati e utilizzati da Sophos in connessione con il Contratto principale, e sostituiscono tutti i precedenti accordi, disposizioni e intese tra le parti in merito a tale oggetto.

9.5. In caso di conflitto con i termini del presente DPA e i termini di eventuali SCC stipulati dalle parti, prevale il contenuto degli SCC applicabili (inclusi eventuali allegati).

10. CAMBIAMENTI LEGALI

10.1. Se è necessario apportare una modifica al presente DPA a seguito di un cambiamento nella legislazione sulla protezione dei dati applicabile, una delle parti può fornire all'altra parte una notifica scritta di tale modifica. Le parti discuteranno e negozieranno in buona fede eventuali variazioni necessarie al presente DPA per affrontare tali cambiamenti. Le parti non osteranno in modo ingiustificato il consenso o l'approvazione per modificare il presente DPA ai sensi del presente articolo 10 o in altro modo.

ELENCO DEGLI ALLEGATI

Allegato 1: DETTAGLI DEL TRATTAMENTO

Allegato 2: MISURE TECNICHE E ORGANIZZATIVE

Allegato 3: TERMINI AGGIUNTIVI PER IL TRASFERIMENTO RESTRITO

Allegato (all'Allegato 3): Appendice alle SCC (Modulo 2/Modulo 3): Da controllore a processore/Da processore a processore

Allegato 1

DESCRIZIONE DELL'ELABORAZIONE

Questo Allegato 1 descrive l'elaborazione che Sophos eseguirà in qualità di processore per conto del Cliente.

(a) Oggetto del trattamento

Sophos fornisce Servizi progettati per rilevare, prevenire e gestire, o assistere Sophos nel rilevare, prevenire e gestire, le minacce alla sicurezza all'interno o contro i sistemi, le reti, i dispositivi, i file e altri dati resi disponibili dal Cliente. Il contenuto di qualsiasi informazione contenuta in questi sistemi, reti, dispositivi, file e altri dati è determinato esclusivamente dal Cliente.

(b) Natura e finalità delle operazioni di trattamento

• Fornire i Servizi ai sensi e per le finalità del Contratto.
• I Dati Personali del Titolare del Trattamento saranno soggetti alle seguenti attività di base di trattamento:

Qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali o su insiemi di Dati Personali nel corso della fornitura dei Servizi, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, il recupero, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, l'allineamento o la combinazione, la limitazione, la cancellazione o la distruzione.

(c) Durata delle operazioni di trattamento:

Il responsabile del trattamento dei dati personali elaborerà i dati per durata del Contratto principale e in conformità con le disposizioni del presente DPA.

(d) Soggetti dei dati

I dati personali del Titolare riguardano le seguenti categorie di interessati:

• Personale e utenti finali del Titolare  
• Altri interessati i cui dati personali sono trattati per conto del Titolare in relazione ai Servizi

(e) Tipi di dati personali

I dati personali del Titolare riguardano le seguenti categorie di dati:

• Nomi utente e altri identificatori
• Informazioni sulla rete e sull'attività di rete
• Altre informazioni che possono essere trasmesse o elaborate in connessione con i Servizi

(f) Categorie particolari di dati (se applicabile)

I dati personali del Titolare riguardano le seguenti categorie particolari di dati:

Il contenuto di qualsiasi informazione conservata nei sistemi, nelle reti, nei dispositivi, nei file e in altri dati di Sophos è determinato esclusivamente dal Cliente. Salvo diversa indicazione, i Servizi di Sophos non sono progettati per elaborare categorie speciali di dati.

Allegato 2

MISURE TECNICHE E ORGANIZZATIVE

Questa panoramica sulla sicurezza delle informazioni si applica ai controlli aziendali di Sophos per la salvaguardia dei Dati Personali del Titolare.

Pratiche e Politiche di Sicurezza

Sophos si impegna a implementare salvaguardie fisiche, tecniche, amministrative o organizzative relative alla protezione di tali Dati Personali del Titolare contro la distruzione accidentale o illecita, la perdita, l'accesso o la modifica dei Dati del Titolare in possesso o sotto il controllo di Sophos.  Sophos manterrà politiche e standard per la protezione dei Dati Personali del Titolare che derivano da quadri di riferimento standard del settore e stabiliscono standard uniformi di sicurezza e privacy per le operazioni di Sophos.  

Sicurezza Organizzativa

È responsabilità delle persone all'interno dell'organizzazione rispettare queste pratiche e standard. Per facilitare l'adesione aziendale a queste pratiche e standard, la funzione della sicurezza delle informazioni fornisce:

1. Strategia e conformità alle politiche/standard e normative, sensibilizzazione e formazione, valutazioni e gestione dei rischi, gestione dei requisiti di sicurezza contrattuale, consulenza su applicazioni e infrastrutture, test di garanzia e guida della direzione della sicurezza dell'azienda;
2. Test di sicurezza, progettazione e implementazione di soluzioni di sicurezza per consentire l'adozione di controlli di sicurezza in tutto l'ambiente;
3. Operazioni di sicurezza delle soluzioni di sicurezza implementate, dell'ambiente e delle risorse, e gestione delle attività di risposta agli incidenti;

Sicurezza del personale

Nell'ambito del processo di assunzione e in conformità con la legge locale, i dipendenti vengono sottoposti a un processo di screening al momento dell'assunzione. La formazione annuale sulla conformità di Sophos include l'obbligo per i dipendenti di completare un corso online che tratta la sicurezza delle informazioni e la protezione dei dati. Il programma di sensibilizzazione sulla sicurezza può anche fornire materiali specifici per determinate funzioni lavorative.

Sicurezza fisica e ambientale

Sophos adotta precauzioni per garantire che tutti i sistemi che ospitano i dati personali del titolare siano mantenuti in un ambiente fisicamente sicuro per prevenire l'accesso fisico non autorizzato e che le restrizioni di accesso nei luoghi fisici che contengono i dati personali del titolare, come edifici, strutture informatiche e strutture di archiviazione dei record, siano progettate e implementate per consentire l'accesso solo alle persone autorizzate e per rilevare eventuali accessi non autorizzati che possono verificarsi, inclusi, a titolo esemplificativo ma non esaustivo, controlli di accesso con badge, restrizioni di accesso alle aree sensibili, allarmi delle strutture nonché registrazione e registri dei visitatori.

Gestione delle comunicazioni e delle operazioni

Sophos gestisce le modifiche alla sua infrastruttura, ai sistemi e alle applicazioni attraverso un programma formale di gestione dei cambiamenti progettato per garantire l'integrità e la sicurezza dei dati personali del titolare. I controlli includono test, analisi dell'impatto aziendale e approvazione della gestione, se del caso. Esistono procedure di risposta agli incidenti per incidenti di sicurezza e protezione dei dati che possono includere analisi degli incidenti, contenimento, risposta, risanamento, segnalazione e ritorno alle operazioni normali.

Per proteggersi dagli attacchi di cibersicurezza, possono essere implementati controlli aggiuntivi in base al rischio. Tali controlli possono includere, ma non sono limitati a, politiche e standard di sicurezza delle informazioni, accesso limitato, autenticazione a più fattori, ambienti di sviluppo e test designati, rilevamento di malware; scansione del traffico email e web; rilevamento e risposta gestiti, registrazione e allarme su eventi chiave, procedure di gestione delle informazioni in base al tipo di dati nonché scansione della vulnerabilità del sistema e delle applicazioni.

Controlli di accesso

Sophos adotta misure e procedure di sicurezza adeguate per garantire che l'accesso a tutti i sistemi che ospitano i dati personali del titolare del trattamento sia protetto tramite l'uso di sistemi di controllo dell'accesso che identificano in modo univoco ogni individuo che richiede l'accesso, concedono l'accesso solo alle persone autorizzate e, in base al principio del minimo privilegio, impediscono alle persone non autorizzate di accedere ai dati personali del titolare del trattamento, limitano e controllano in modo appropriato l'ambito dell'accesso concesso a qualsiasi persona autorizzata e registrano tutti gli eventi di accesso pertinenti.

Controlli dei subappaltatori

Sophos è responsabile di garantire che i suoi subappaltatori che elaborano i dati personali del titolare del trattamento mantengano programmi di sicurezza dei dati che siano almeno altrettanto rigorosi dei programmi di Sophos rispetto al servizio applicabile per il quale tale subappaltatore è stato assunto e in conformità con gli standard e le pratiche generalmente accettati nel settore. Sophos mantiene un programma di gestione del rischio incentrato sull'identificazione, la valutazione e la validazione dei controlli di sicurezza di un fornitore.

Sviluppo e manutenzione del sistema

Le vulnerabilità di terze parti rilasciate pubblicamente vengono esaminate per verificarne l'applicabilità nell'ambiente Sophos. In base al rischio per l'attività e i clienti di Sophos, esistono dei tempi prestabiliti per la correzione. Inoltre, vengono eseguiti controlli e valutazioni delle vulnerabilità su nuove applicazioni chiave e sull'infrastruttura in base al rischio. Le revisioni del codice e gli scanner vengono utilizzati nell'ambiente di sviluppo prima della produzione per rilevare in modo proattivo le vulnerabilità di codifica in base al rischio. Questi processi consentono l'identificazione proattiva delle vulnerabilità e la conformità.

Conformità

I dipartimenti della sicurezza delle informazioni, del legale, della privacy e della conformità lavorano per identificare le leggi e le normative regionali applicabili a Sophos. Questi requisiti riguardano aree come la proprietà intellettuale dell'azienda e dei nostri clienti, le licenze software, la protezione dei dati personali dei dipendenti e dei clienti, le procedure di protezione e gestione dei dati, la trasmissione transfrontaliera dei dati, le procedure finanziarie e operative, i controlli regolatori sulle esportazioni di tecnologia e i requisiti forensi. Meccanismi come il programma di sicurezza delle informazioni, le revisioni/valutazioni interne ed esterne, la consultazione di consulenti legali interni ed esterni, la valutazione dei controlli interni, i test di penetrazione interni e le valutazioni delle vulnerabilità, la gestione dei contratti, la consapevolezza della sicurezza, la consulenza sulla sicurezza, le revisioni delle eccezioni alle politiche e la gestione del rischio si combinano per garantire la conformità a questi requisiti.

Allegato 3

TERMINI AGGIUNTIVI PER IL TRASFERIMENTO RESTRITO

Questo Allegato 3 include ulteriori termini applicabili ai trasferimenti soggetti a restrizioni, oltre alle informazioni necessarie per completare gli Allegati (Allegati I – III) alle Clausole contrattuali standard applicabili.

1. Quando il Cliente è un responsabile in relazione ai dati personali del responsabile, si applica il modulo 2 delle Clausole contrattuali standard, in conformità ai termini del presente Allegato 3.
2. Quando il Cliente è un responsabile che agisce per conto di un responsabile in relazione ai dati personali del responsabile, si applica il modulo 3 delle Clausole contrattuali standard, in conformità ai termini del presente Allegato 3.
3. Ai fini degli SCC dell'UE:
   3.1. Clausola 7: la clausola di aggancio opzionale non si applica;
   3.2. Clausola 9(a): si applica l'opzione 2 (autorizzazione generale) e l'importatore di dati dovrà notificare per iscritto all'esportatore di dati con almeno 30 giorni di anticipo eventuali modifiche previste.
   3.3. Clausola 11: la lingua facoltativa non si applica.
   3.4. Clausola 17: le SCC dell'UE sono regolate dalle leggi della Repubblica d'Irlanda;
   3.5. Clausola 18: le controversie saranno risolte davanti ai tribunali della Repubblica d'Irlanda;
   3.6. L'appendice delle SCC dell'UE sarà compilata con le informazioni allegate al presente Allegato 3.
4. Ai fini dell'Addendum del Regno Unito, si applicano le seguenti disposizioni:
   4.1. I dettagli delle Parti pertinenti per la Tabella 1 sono indicati nell'Allegato I dell'Allegato al presente Allegato 3;
   4.2. Ai fini della Tabella 2, l'Addendum del Regno Unito sarà allegato alle SCC dell'UE con le stesse opzioni e scadenze di cui sopra;
   4.3. Le informazioni dell'appendice elencate nella Tabella 3 saranno compilate con le informazioni degli Allegati I e II dell'Allegato al presente Allegato 3.
5. Ai fini delle SCC svizzere, le SCC dell'UE si applicano come segue:
   5.1. Tutti i riferimenti nelle SCC dell'UE al GDPR devono essere interpretati come riferimenti all'DPA svizzero;
   5.2. I riferimenti a "UE", "Unione", "Stato membro" e "legge dello Stato membro" devono essere interpretati come riferimenti alla Svizzera e alla legge svizzera, a seconda dei casi;
   5.3. I riferimenti all'"autorità di vigilanza competente" e ai "tribunali competenti" devono essere interpretati come riferimenti al FDPIC e ai tribunali competenti in Svizzera;
   5.4. Gli allegati pertinenti delle SCC svizzere devono essere compilati con le informazioni nell'allegato alla presente appendice 3.

Allegato all'appendice 3 

APPENDICE ALLE SCC 

MODULO 2 o MODULO 3 (a seconda dei casi)

ALLEGATO I 

A. ELENCO DELLE PARTI 

1. Esportador(i) dei dati:  

Firma e data dell'esportatore dei dati: Data e firma come specificato nel Contratto principale 

2. Importatore di dati: 

Firma e data dell'importatore dei dati: Data e firma come specificato nel Contratto principale 

B. DESCRIZIONE DEL TRASFERIMENTO 

Come stabilito nell'Allegato 1.

1.2 Categorie di dati personali trasferiti. 

Come stabilito nell'Allegato 1.

Dati sensibili trasferiti (se applicabile) e restrizioni o salvaguardie applicate che tengono pienamente conto della natura dei dati e dei rischi coinvolti, come ad esempio la rigorosa limitazione della finalità, le restrizioni di accesso (ivi compreso l'accesso solo per il personale che ha seguito una formazione specializzata), la tenuta di un registro degli accessi ai dati, le restrizioni per ulteriori trasferimenti o misure di sicurezza aggiuntive.

Come stabilito nell'Allegato 1. Se vengono trasferiti dati sensibili, vedere l'Allegato 2 per eventuali restrizioni applicate.

La frequenza del trasferimento (ad es. se i dati vengono trasferiti una tantum o in modo continuo).

Continuo.

Natura dell'elaborazione

Come stabilito nell'Allegato 1.

Finalità del trasferimento dei dati e dell'ulteriore elaborazione

Come stabilito nell'Allegato 1.

Il periodo per il quale i dati personali saranno conservati, o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo

Come stabilito nell'Allegato 1.

Per i trasferimenti a (sotto-)elaboratori, specificare anche oggetto, natura e durata dell'elaborazione

Come stabilito nell'Allegato 1.

C. AUTORITÀ DI CONTROLLO COMPETENTE 

L'autorità di controllo competente è l'autorità di controllo dello Stato membro in cui è stabilito l'esportatore di dati o come altrimenti determinato in conformità al GDPR.

ALLEGATO II - MISURE TECNICHE E ORGANIZZATIVE COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Come indicato nell'Allegato 2 al DPA. 

ALLEGATO III - LISTA DEI SOTTOPROCESSORI 

Non applicabile poiché le parti hanno concordato un'autorizzazione generale all'uso dei sottoprocessori

Data di revisione: 10 dicembre 2025